ShinyHunters afirma robo de 1,5 mil millones de registros de Salesforce mediante tokens OAuth comprometidos

septiembre 18, 2025

ShinyHunters afirma robo de 1,5 mil millones de registros de Salesforce mediante tokens OAuth comprometidos

Qué ha ocurrido

El grupo de extorsión conocido como ShinyHunters ha publicado la denuncia de un supuesto robo masivo de datos: según el colectivo, ha sustraído más de 1.5 mil millones de registros de Salesforce pertenecientes a 760 empresas. El método descrito por los atacantes involucra tokens OAuth comprometidos asociados a integraciones de terceros, mencionando específicamente Salesloft y Drift como elementos utilizados para acceder a las instancias de Salesforce.

ShinyHunters afirma haber robado más de 1.5 mil millones de registros de Salesforce de 760 empresas mediante tokens OAuth comprometidos de Salesloft y Drift.

Hasta el momento de esta publicación, la reclamación proviene del propio grupo y no puede reputarse como verificada de forma independiente sin la confirmación oficial de las empresas afectadas, Salesforce o los proveedores de integración mencionados. La naturaleza agregada del número —miles de millones de registros—, si se confirma, situaría el incidente entre las filtraciones de datos más voluminosas reportadas en los últimos años.

Por qué importa — contexto y antecedentes

Salesforce es una plataforma CRM ampliamente utilizada por empresas de todos los tamaños para gestionar clientes, ventas y operaciones comerciales. Su integración con herramientas de terceros (como Salesloft o Drift) mediante OAuth es una práctica común para automatizar flujos de trabajo, campañas y comunicación con clientes.

Los tokens OAuth permiten a aplicaciones y servicios actuar en nombre de una cuenta sin exponer credenciales de usuario (usuario/contraseña). Pero, como cualquier credencial, si un token se filtra, se revoca incorrectamente o se le conceden permisos excesivos, puede convertirse en una llave maestra que permita el acceso lateral a grandes volúmenes de datos.

Grupos como ShinyHunters han sido vinculados en el pasado a múltiples filtraciones y ventas de bases de datos. A su vez, incidentes anteriores han mostrado que la cadena de suministro de integraciones y aplicaciones conectadas es un vector de riesgo persistente para entornos empresariales.

Análisis técnico y comentarios para equipos de seguridad

Para equipos de seguridad y administradores de Salesforce, la reclamación plantea varias preguntas técnicas que deben investigarse con prioridad:

  • Inventario de aplicaciones conectadas: ¿qué aplicaciones de terceros tienen acceso OAuth a la organización de Salesforce y con qué ámbitos (scopes)?
  • Revisión de permisos: ¿se concedieron permisos por encima del principio de menor privilegio (por ejemplo, scopes que permiten lectura o escritura masiva de registros sensibles)?
  • Gestión de tokens: ¿existen tokens de larga duración o refresh tokens que permitan reautenticación sin interacción del usuario?
  • Telemetría y detección: ¿los registros de auditoría y Event Monitoring muestran accesos inusuales, descargas masivas o patrones de API anómalos asociados a aplicaciones de terceros?
  • Compromiso de terceros: ¿Salesloft, Drift u otros proveedores han sufrido un compromiso que pudiera explicar la exfiltración de tokens?

Recomendaciones prácticas inmediatas para incident response:

  • Activar un modo de contención: revocar tokens sospechosos y desconectar temporalmente integraciones no críticas hasta completar la investigación.
  • Hacer forense de logs: consolidar registros de acceso, API y auditoría para identificar las cuentas afectadas, intervalos de tiempo y volumen de datos accedidos.
  • Comunicar y coordinar: contactar con los proveedores de integraciones (Salesloft, Drift) y, si procede, con Salesforce Security Response para compartir evidencias y mitigar a nivel de plataforma.
  • Hunt y bloqueo: buscar en repositorios de código y artefactos internos tokens expuestos o credenciales en claro que puedan haber facilitado el acceso.

Casos comparables y estadísticas relevantes

Si bien el número de 1.5 mil millones es extraordinario, existen precedentes donde integraciones o APIs han sido puntos débiles en brechas de datos. Casos históricamente relevantes incluyen filtraciones masivas de credenciales y bases de datos por exposición en repositorios públicos, así como compromisos de aplicaciones de terceros que otorgaron acceso a plataformas más amplias.

De forma general, estudios de industria han señalado que un porcentaje significativo de incidentes de seguridad corporativa proviene de terceros o del uso indebido de credenciales automatizadas. El abuso de tokens OAuth y tokens de API aparece recurrentemente como vector en ataques dirigidos a infraestructuras SaaS debido a la confianza implícita entre servicios conectados.

Riesgos, implicaciones y recomendaciones accionables

Riesgos e implicaciones inmediatas:

  • Exposición masiva de datos de clientes, incluidos PII y registros comerciales, con impacto reputacional y regulatorio.
  • Posible uso de la información exfiltrada para campañas de phishing, fraude o ingeniería social dirigidas.
  • Responsabilidad contractual y cumplimiento: empresas afectadas podrían enfrentarse a obligaciones de notificación a clientes y autoridades según jurisdicción.

Recomendaciones operativas y de mitigación:

  • Auditoría de integraciones: realizar un inventario exhaustivo de todas las aplicaciones con acceso a Salesforce y evaluar permisos y necesidad real.
  • Revocación y rotación de tokens: revocar tokens de acceso y refresh tokens, forzar reautenticación y rotar credenciales de las integraciones críticas.
  • Aplicar el principio de menor privilegio: restringir scopes OAuth al mínimo necesario; evitar permisos globales o administrativos para integraciones estándar.
  • Forzar expiración y políticas de refresh: establecer políticas de expiración cortas para tokens y revisar el uso de refresh tokens de larga duración.
  • Habilitar controles avanzados: si la organización dispone de Salesforce Shield o Event Monitoring, activar registros detallados y alertas en tiempo real para descargas masivas.
  • Detección y respuesta: integrar logs de Salesforce con SIEM/SOAR, definir playbooks de respuesta y realizar threat hunts orientados a la exfiltración por API.
  • Revisión del entorno de terceros: exigir a proveedores auditorías de seguridad, comprobación de posture y prácticas de gestión de credenciales seguras.
  • Preparación legal y comunicación: coordinar con legal y privacidad para planes de notificación a afectados y autoridades regulatorias si procede.

Conclusión

La afirmación de ShinyHunters sobre el robo de más de 1.5 mil millones de registros de Salesforce, si se confirma, subraya el riesgo persistente que suponen los tokens OAuth y las integraciones de terceros en entornos SaaS. Para las organizaciones, el incidente recuerda la necesidad de inventarios actualizados de aplicaciones conectadas, políticas estrictas de permisos, rotación y expiración de tokens, y procesos de detección y respuesta capaces de identificar accesos anómalos a través de APIs. Hasta que existan confirmaciones independientes o comunicaciones oficiales de las partes implicadas, las organizaciones deben priorizar la verificación de su propio entorno y aplicar medidas preventivas y de contención recomendadas.

Source: www.bleepingcomputer.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

CoPhish: nueva técnica que usa agentes de Copilot Studio para robar tokens OAuth
Noticias Ciberseguridad
Ataques masivos explotan plugins antiguos de WordPress: GutenKit y Hunk Companion permiten RCE
Noticias Ciberseguridad
TP‑Link parchea cuatro fallos en Omada Gateway; dos permiten ejecución remota de código
Noticias Ciberseguridad
Cierre inmediato de DNS0.EU: el servicio DNS público europeo cesa por problemas de sostenibilidad
Noticias Ciberseguridad